【基于多核MIPS64芯片的综合安全网关设计与实现】连载一:

邓 林, 余刘琅, 韩江洪
( 合肥工业大学信息中心, 安徽合肥230009)

摘 要:
针对当前安全设备在面对日益复杂的多形态网络行为和攻击应用上存在的低效率和低功能, 提出一种面向下一代网络的高性能、分层次、并行处理的多功能综合安全网关体系结构。该体系结构以多核MIPS64 安全处理芯片为基本核心模块, 采用X86 作为资源调度管理, 以MIPS64 cavium 芯片内嵌的针对TCP 数据包深度检查和模式识别的硬件完成网络数据流的高速检测, 以PCI ex press X16 总线实现线速处理网络数据流量, 以双通道DDR2和Ultra320 SCSI 完成海量数据流的内部处理和存储。实际测试表明新型安全网关具有极好的效果。

关键词: MIPS64; 多核处理器; 线速; 综合安全网关; 深度检测
中图分类号: TP393. 08 文献标识码: A 文章编号: 1000- 7180( 2008) 02- 0028- 04

1 引言
网络攻击方式已经从简单的网络层攻击升级到多层次的混合型攻击, 对此目前的传统安全产品或者因功能制约, 或者因性能制约而难以有效全面防范。文中提出基于多核MIPS64 安全处理芯片[ 1] 的高性能安全网关( 以下简称/ 高速安全网关0) 的设计思想, 针对目前安全产品的诸多不足, 提出一整套自成体系的、高速、高效率、高可靠性和高安全性的安全系统设计方案。

由于高速安全网关采用了多核MIPS64 安全处理芯片和专用硬件平台, 通过最新的PCI Express总线技术[ 2] 能够线速处理网络数据流量, 从而达到网络流量10Gb/ s 的处理。由于网关采用的多核MIPS64 芯片里内嵌了针对TCP 数据包检查和模式识别( Pat tern Search) 的硬件功能, 因此可以安排多核中的一些内核并行对数据包进行深度的内容检测。并行处理的条件下对数据包内容进行高速检测, 理论处理速度可以达8Gb/ s 以上, 对网络流速的影响小于20% 。从而确保数据流量的安全性和高性能。

2 基于MIPS64 安全处理的高速安全网关整体原理框架

基于MIPS64 安全处理的面向下一代网络的高速综合安全网关为采用MIPS64 安全处理系列芯片的多核处理器、高效资源调度系统和外围控制模块和多类型通信接口三层系统物理构架, 如图1 所示。

图1 基于M IPS64 安全处理的高速安全网关基本原理框图

图1 基于M IPS64 安全处理的高速安全网关基本原理框图

第一层是核心处理层, 采用单核或多核的MIPS64 安全处理芯片。使用成熟的、已经商业化的MIPS64 安全处理芯片系列是面向下一代网络的高速安全网关的核心基础与目前业界流行的使用1GHz 处理器配上各种各样的协处理器和FPGA 芯片( 成本高、功耗大) 相比, 基于多核的MIPS64 安全
处理内核的高速安全网关, 具有如下特点:

# 高度集成化和低成本的64 位解决方案;

# 通过广泛的、根据条件的时钟控制来降低功
耗;

# 处理器核心内建硬件加速器;

# 使用多核技术, 而不是简单的提高CPU 的频
率;

# 一体化的针对不同应用的专用协处理器;

# 使用标准指令集的简单软件模型。

由于MIPS64 安全处理为核心的硬件技术, 使得高速安全网关集成广泛地从L 3 ~ L 7 的数据、内容和安全服务硬件加速成为可能, 这些加速器分担了MIPS CPU 的很多任务、降低了获得万兆线速所需要的CPU 主频, 从而降低功耗和成本。

第二层的/ 资源调度管理0系统和第三层的/ 外围控制模块与多类型通信接口0 则在核心的硬件支持下实现具体的各项功能。这部分的实现可基本上移植于目前现有的安全设备相关技术, 不属于文中的讨论范畴。

3 基于M IPS64 安全处理器的高速安全网关硬件架构原理

如图2 所示, 基于MIPS64 安全处理的高速安全网关基本硬件架构主体框架包括核心过滤系统、资源调度系统、外围接口三大部分; 其中, 以多核MIPS64 为核心器件。

图2 基于MIPS64 安全处理的高速安全网关硬件架构原理

图2 基于MIPS64 安全处理的高速安全网关硬件架构原理

硬件功能分工: 核心过滤系统侧重于利用其多核的高速和内置硬件处理模块的高效, 实现高速过滤; 资源调度系统侧重于资源管理调度, 负责信息的收集和处理后的输出; 而x86 仅作为一个功能模块,通过驱动与MIPS64 核心协同工作, 解决高带宽场合核心系统外围总线带宽不足问题( 其在低端应用中可省略) 。各子系统之间的带宽和速度匹配问题已经通过仔细的估算, 不会出现明显性能瓶颈。

之所以要选择x 86 作为整体的一部分, 主要是利用x86+ ICH 的相对较好的吞吐能力[ 3] 用于解决MIPS64 外围总线带宽不足问题。

--电子创新网--
粤ICP备12070055号